检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
具备网络安全检测能力:Cilium支持通过集成第三方的网络安全检测服务,如Snort等,来进行网络流量分析和检测。 自动进行容器安全策略管理:Cilium通过基于Kubernetes 的自定义资源定义(CRD)机制,为每个容器自动创建安全策略,保障容器的安全。
安全 责任共担 身份认证与访问 审计与日志 监控风险安全 认证证书
服务网格 网格管理 服务管理 灰度发布 流量治理 服务安全 服务网关 监控中心
服务安全 概述 对端认证 请求认证 服务授权 父主题: 服务网格
设置集群网络 创建MCS前,需要保证集群间的节点网络互通与容器网络互通。 请参考表1检查集群网络情况。若集群或容器间网络还未打通,请参考表中设置方法对集群网络进行配置。若按照方法进行设置后仍无法打通网络,请参考常见问题进行问题排查。 表1 打通集群间网络 集群间网络 检查方法 打通方法
监控风险安全 容器洞察提供基于Kubernetes原生类型的容器监控能力,支持集群、节点、工作负载的资源全景,支持节点的资源占用、工作负载的资源消耗,以及近一小时的CPU/内存指标展示,全面监控集群的健康状态和负荷程度。 关于UCS监控风险安全的详细介绍,请参见容器洞察章节。 父主题
创建联邦网络连接 功能介绍 舰队开通联邦后,创建vpcep终端节点连接到联邦apiserver URI POST /v1/clustergroups/{clustergroupid}/connection 表1 路径参数 参数 是否必选 参数类型 描述 clustergroupid
管理本地集群网络 Cilium概述 使用L4负载均衡-MetalLB 使用L7负载均衡Ingress-nginx 父主题: 管理本地集群
本地集群使用云专线/VPN上报日志 步骤一:云日志服务VPC终端节点授权 在导航栏单击“工单>新建工单”。 在“我遇到的问题所属产品/服务”的输入框中输入LTS,单击“搜索” 问题类型选择“其他问题”,新建工单。 输入问题描述,选择联系方式,并提交。 问题描述内容建议:云日志服务VPC
注册附着集群(私网接入) 位于本地数据中心和第三方云上的附着集群通过公网接入UCS存在一定的安全风险,用户需要稳定安全的集群接入方式,此时可以使用私网接入的方式将集群纳入UCS进行管理。 私网连接方式是通过云专线(DC)或虚拟专用网络(VPN)服务将云下网络与云上虚拟私有云(VPC
创建联邦网络连接并下载联邦kubeconfig 功能介绍 舰队开通联邦后,调用此接口,创建vpcep终端节点,连接到联邦apiserver,并下载联邦apiserver的kubeconfig URI POST /v1/clustergroups/{clustergroupid}/cert
汽车行业场景 应用场景 随着车联网等新业务场景的出现,汽车的数字化营销、智慧生产、智慧门店等新兴场景不断涌现,传统汽车行业的数字化转型成为产业发展趋势,但是与此同时也面临着多种挑战。 挑战一:传统稳态业务资源利用率不高,基础资源无法有效整合。 挑战二:弹性能力不足,无法满足大量在线用户并发接入
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另外
责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任
使用对等连接打通CCE集群网络 应用场景 在创建MCS对象前,需要保证集群间网络互通。其中,跨VPC的CCE集群间网络可以通过创建对等连接的方式打通。 本文将介绍如何通过创建对等连接的方式,为跨VPC的CCE集群打通节点间与容器间网络。 设置集群网络类型 将集群的网络类型设置为underlay
审计与日志 审计 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS的详细介绍和开通配置方法,请参见CTS快速入门
身份认证与访问 UCS支持IAM与Kubernetes的角色访问控制(RBAC)的精细的权限管理,实现UCS服务资源权限、集群中Kubernetes资源权限两种维度的权限控制,这两种权限针对的是不同类型的资源,在授权机制上也存在一些差异,具体如下: UCS服务资源权限:是基于IAM
同region集群打通方法 以两个北京四集群为例,网格控制面也位于北京四,两个集群在不同的VPC中,需要使用VPC对等连接打通网络以使用网格功能。 网段约束 各集群所在的VPC网段不能冲突。 各集群所设置的容器网段不能冲突。 CCE网络插件实现会在路由表中添加路由,为了防止路由冲突造成网络无法联通
使用工作负载Identity安全访问云服务 应用场景 工作负载Identity允许集群中的工作负载模拟IAM用户来访问云服务,从而无需直接使用IAM账号的 AK/SK 等信息,降低安全风险。 本文档介绍如何在UCS中使用工作负载Identity。 方案流程 使用工作负载Identity
概述 ASM服务提供了一个透明的分布式安全层,并提供了底层安全的通信通道,管理服务通信的认证、授权和加密,还提供了实例到实例、服务到服务的通信安全。 开发人员在这个安全基础设施层上只需专注于应用程序级别的安全性。 安全功能主要分为对端认证、请求认证和服务授权,以确保服务间通信的可靠性